Your computer is infected....AIUTO

di **fabrizius** » 15/02/06 12:01

Luke57 ha scritto:Ciao, il problema è che lo spyware non è proprio facile da rimuovere....

hai ragione ma il fatto che non abbia gli aggiornamenti vuol dire che anche riuscendo ad eliminarlo di li a poco ritorna....
in alcuni casi basta disinstallarlo da installazioni applicazioni,fixare la voce hijackthis,fare una ripulita generale con Ccleaner e RegSeeker per es. ed il problema si risolve

di **fabrizius** » 15/02/06 12:14

dalla modalità provvisoria dovresti provare a fixare queste voci:

C:\WINDOWS\System32\lich.exe
C:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe

Vai in installazioni applicazioni ed elimina questi programmi se ci sono:
AlfaCleaner.com
Desktop Uninstall

Cerca e se trovi elimina questi files

C:\Program Files\AlfaCleaner\
C:\Windows\System32\intell321.exe
C:\Windows\System32\voi640.exe
C:\Windows\warnhp.html
c:\winstall.exe
C:\Windows\uninstDsk.exe
C:\Windows\System32\voi271.exe

Riposta un log

Secondo me ti conviene eseguire il windows update,o almeno installare le ultimie patch di sicurezza

di **antocri** » 15/02/06 12:17

fabrizius ha scritto:Secondo me ti conviene eseguire il windows update,o almeno installare le ultimie patch di sicurezza

sono d'accordo! Puoi dirmi come devo fare? Please...

di **fabrizius** » 15/02/06 12:17

PS:io vado ti lascio nelle mani di Luke che saprà sicuramente consigliarti gli ultimi passaggi da compiere....

di **fabrizius** » 15/02/06 12:23

antocri ha scritto:sono d'accordo! Puoi dirmi come devo fare? Please...

se per qualche motivo non puoi installare il sp2 facendo il windows update vai su questa pagina ed installa almeno le ultime patch per la sicurezza,http://www.microsoft.com/downloads/results.aspx?freetext=&productID=4C937A02-BAE0-4317-A1A9-0C56CD979D05&DisplayLang=it
sono disposte per data di rilascio

di **Tiseria** » 15/02/06 12:31

Da eliminare con HJT:

antocri ha scritto:O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe

Sei infetto da Trojan.Win32.Small.KY, Adware.AlfaCleaner.A

Visto che hai gia' provato con Adware, Spybot, Ewido e Avast, installa Virit (shareware 30gg) dal sito http://www.tgsoft.it

ciao

di **antocri** » 15/02/06 12:41

sto scaricando service pack 2 (sperando che non mi blocchi il pc)
richiede un bel po' di tempo.

dopodiché seguirò il suggerimento di Tiseria

grazie a tutti, vi farò sapere.

di **Luke57** » 15/02/06 12:55

fabrizius ha scritto:PS:io vado ti lascio nelle mani di Luke che saprà sicuramente consigliarti gli ultimi passaggi da compiere....

Ciao, approfitto e ringrazio della fiducia di Fabrizio

prova a fare così:
Per prima cosa metti l'eseguibile (.exe) di hijackthis in una cartella del disco fisso ad esso dedicata, tipo C\HJT, nè temporanea nè desktop come hai fatto tu, in modo che il programma possa fare un backup delle voci eliminate.
Poi apri hijackthis, browser chiuso e disconesso da internet, premi “open the misc tools sections”, poi “open process manager”, cerchi i seguenti processi:
C:\WINDOWS\System32\lich.exe
C:\WINDOWS\System32\intell321.exe
li evidenzi, clicchi “kill process” ,poi premi “back”, “scan”, cerchi e metti il segno di spunta alle seguenti voci:
C:\WINDOWS\System32\lich.exe
C:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
Premi “fix checked”
Riavvii in modalità provvisoria
(A. Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
B. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK., Cerchi ed elimini i seguenti file:
C:\WINDOWS\System32\lich.exe
C:\WINDOWS\System32\intell321.exe
C:\Programmi\AlfaCleaner\AlfaCleaner.exe <----- tutta la cartella
Da pannello di controllo installazioni\applicazioni elimina tutti i programmi che non hai istallato tu.
Poi elimina tuttii file temporanei di windows (temp e tmp, fai così start>cerca>tutti i file e cartelle, nello spazio bianco “nome del file o parte del nome” copi : *.temp; *.tmp ed elimini tutti quelli trovati), cancelli tutti i fle temporanei di IE, cronologia, cookies. Ti porti sulla cartella C\Windows\prefetch, cancelli tutti i file presenti meno che LAYOUT.INI ( lo vedi bene perché ha un’icona differente da tutti gli altri file presenti nella cartella), svuota il cestino. Posta nuovo log.

di **antocri** » 15/02/06 19:39

Caro Luke57, anzitutto grazie per l'aiuto: esaustivo, dettagliato e preciso.
Detto ciò, io sono ancora più disperata di stamattina :cry:

Proverò a spiegare con ordine tutto quello che ho fatto.

- Sollecitata da Fabrizio, ho deciso di ritentare la sorte col windows update;
- Ho scaricato Service pack 2
- Nel pomeriggio l'ho installato (ci ha messo un sacco)
- Appena ho riavviato il pc mi è comparso lo schermo blu con questa scritta bianca "STOP: c0000221 unknown hard error\Systemroot\system32\ntdll.lll"
- Ho pensato che potesse essere un problema dovuto allo spyware che non avevo ancora eliminato.
- Allora ho riavviato il pc in modalità provvisoria e fatto quanto mi hai detto nell'ultimo messaggio.
- di anomalo, seguendo la procedura da te indicata, ho notato che mi è scomparsa la cartella prefetch in C\WINDOWS (cartella che stamattina c'era, l'avevo notata) e inoltre non ho trovato nessun file temporaneo (forse perchè avevo fatto pulizia stamattina?).
- ho riavviato il pc ma mi ha dato lo stesso sfondo blu con scritta bianca.
- Ho riavviato in modalità provvisoria per rimuovere service pack 2 (dal momento che anche tempo fa, installando l'aggiornamento, mi si bloccava il pc).
- ho riavviato ma continua a darmi sfondo blu e orribile scritta bianca.
- dopodiché sono qui a scriverti da un altro pc, che il mio è fuori uso, e non so che fare

Puoi ancora aiutarmi?
Può essere che il problema sia dovuto alla mancanza della cartella prefetch in windows?
e come mai è scomparsa? io non l'ho toccata...
e come faccio a ripristinarla (scrivo da un pc in rete col mio, può essere d'aiuto questo fatto?)
HELP ME

Grazie

di **fabrizius** » 15/02/06 20:43

dai un occhiata qui..http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314474

antocri ha scritto:

sono d'accordo! Puoi dirmi come devo fare? Please...

ed io ti ho consigliato questo

se per qualche motivo non puoi installare il sp2 facendo il windows update vai su questa pagina ed installa almeno le ultime patch per la sicurezza,http://www.microsoft.com/downloads/results.aspx?freetext=&productID=4C937A02-BAE0-4317-A1A9-0C56CD979D05&DisplayLang=it
sono disposte per data di rilascio

di **antocri** » 15/02/06 22:40

Grazie Fabrizio.
Non sono ancora riuscita a risolvere il problema, ma ti ringrazio comunque per la gentilezza e la disponibilità

P.S. purtroppo il tuo ultimo consiglio l'ho visto solo dopo aver reinstallato gli aggiornamenti.

di **Luke57** » 15/02/06 22:58

Ciao, prova a sostituire il file ntdll.dll. Lo prelevi da qui
http://www.dll-files.com/dllindex/dll-files.shtml?ntdll
e in qualche modo lo inserisci nella cartella System32, al posto di quello difettoso.

di **antocri** » 16/02/06 10:15

Luke57 ha scritto:Ciao, prova a sostituire il file ntdll.dll. Lo prelevi da qui
http://www.dll-files.com/dllindex/dll-files.shtml?ntdll
e in qualche modo lo inserisci nella cartella System32, al posto di quello difettoso.

Ciao Luke.
Ho fatto come mi hai detto, ma non sono riuscita a sostituire il file difettoso: ho aggiunto quello buono, ma il computer non mi permetteva di eliminare quello vecchio (diceva "file in uso" e cose del genere), per fare coesistere entrambi i file, ho rinominato quello vecchio (ntdll.dll2).
Ma non ho ottenuto grandi risultati.
Provando a riavviare il pc mi è comparso lo schermo blu con nuove scritte e questi codici di errore:
STOP 0xC0000006
0x806A276D,
0xFC8D76E8,
OXFC8D73E4

A parte il primo, sul supporto microsoft non ho trovato nulla sugli altri tre codici.

Dici che sarà il caso di reinstallare WindowsXP? :undecided:

di **Luke57** » 16/02/06 10:27

Ciao, non ti garantisco il risultato, prova a fare questo:
start>esegui> scrivi sfc /scannow con lo spazio fra sfc e la barra, con il cd d'installazione di windows a portata di mano. In genere vengono sostituiti i file di sistema.

di **Luke57** » 16/02/06 10:38

Un'altra possibilità, anche qui il risultato non è garantito :
Avviare il computer e premere F8 quando inizia l'avvio di Windows. Verrà visualizzato il menu Opzioni avanzate di Windows.
2. Utilizzare i tasti di direzione per selezionare Ultima configurazione valida (impostazioni funzionanti più recenti), quindi scegliere OK.
3. Se viene visualizzato un menu di avvio, utilizzare i tasti di direzione per selezionare Microsoft Windows XP, quindi scegliere OK.
Il computer verrà avviato utilizzando le informazioni del Registro di sistema salvate al momento dell'ultimo arresto del computer.
(tratto dalla Microsoft)
Il fatto è, come avrai già capito, che hai tentato l'installazione del sp2 in un computer "sporco" da virus e/o affini e che è difficile tornare al momento preinstallazione.

di **antocri** » 16/02/06 10:50

Luke57 ha scritto:Ciao, non ti garantisco il risultato, prova a fare questo:
start>esegui> scrivi sfc /scannow con lo spazio fra sfc e la barra, con il cd d'installazione di windows a portata di mano. In genere vengono sostituiti i file di sistema.

Purtroppo non sono più riuscita ad avviare il pc NEANCHE in modalità provvisoria, in quanto manca o è danneggiato il seguente file: System32\DRIVER\pcisys

Seguendo le indicazioni del pc, ho inserito il cd d'installazione nel cd rom e ho avviato la console di ripristino.

Adesso mi chiede "quale installazione di windows si vuole accedere".
Cosa devo rispondere?

di **Luke57** » 16/02/06 11:01

Dai invio per annullare la richiesta

di **antocri** » 16/02/06 11:12

Luke57 ha scritto:Dai invio per annullare la richiesta

L'ho fatto ma ha ricominciato il giro e sono al punto di partenza (stessa domanda).

Prima della schermata con questa domanda, mi dice che sono nel programma di installazione "per l'esecuzione di Microsoft (R) Windows (R) XP sul computer".

Può essere che a quella domanda io debba rispondere R?

Oppure....
Durante il caricamento del cd rom, a un certo punto dice "premere F2 ripristino automatico del sistema", sarà che devo premere F2?

Grazie ancora per la pazienza...

di **Luke57** » 16/02/06 11:37

Ciao, se premi f2 penso che ti verrà chiesto verrà richiesto di inserire il disco floppy per il Ripristino automatico di sistema che pero deve essere stato creato in precedenza.

di **antocri** » 16/02/06 11:39

Luke57 ha scritto:Ciao, se premi f2 penso che ti verrà chiesto verrà richiesto di inserire il disco floppy per il Ripristino automatico di sistema che pero deve essere stato creato in precedenza.

non credo di avere questo disco floppy

cosa devo fare quindi (in alternativa al premere F2)?

Your computer is infected....AIUTO

Topic correlati a "Your computer is infected....AIUTO":

Chi c’è in linea